威脅網(wǎng)絡(luò)信息安全的因素和個(gè)人信息安全

汪怡廷

摘 要 當(dāng)我們?cè)u(píng)判一個(gè)系統(tǒng)是否安全時(shí)，不應(yīng)該只看它應(yīng)用了多么先進(jìn)的設(shè)施，更應(yīng)該了解它最大的弱點(diǎn)是什么，因?yàn)榫W(wǎng)絡(luò)的安全性取決于它最薄弱環(huán)節(jié)的安全性。

關(guān)鍵詞 網(wǎng)絡(luò)安全 因素 個(gè)人信息 安全

中圖分類(lèi)號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A

通過(guò)考察近幾年在Internet上發(fā)生的黑客攻擊事件，我們不難看出威脅網(wǎng)絡(luò)安全的基本模式是一樣的。特別在大量自動(dòng)軟件工具出現(xiàn)以后，加之Internet提供的便利，攻擊者可以很方便地組成團(tuán)體，使得網(wǎng)絡(luò)安全受到的威脅更加嚴(yán)重。

隱藏在世界各地的攻擊者通常可以越過(guò)算法本身，不需要去試每一個(gè)可能的密鑰，甚至不需要去尋找算法本身的漏洞，他們能夠利用所有可能就范的錯(cuò)誤，包括設(shè)計(jì)錯(cuò)誤、安裝配置錯(cuò)誤及教育培訓(xùn)失誤等，向網(wǎng)絡(luò)發(fā)起攻擊。但在大多數(shù)情況下，他們是利用設(shè)計(jì)者們犯的一次次重復(fù)發(fā)生的錯(cuò)誤輕松得逞的。

我們可以粗略地將對(duì)系統(tǒng)安全造成的威脅歸結(jié)為6大類(lèi) ： 教育培訓(xùn)問(wèn)題、變節(jié)的員工、系統(tǒng)軟件的缺陷、對(duì)硬件的攻擊、錯(cuò)誤的信任模型和拒絕服務(wù)。需要指出的是，這幾類(lèi)威脅之間可能會(huì)有交叉與重疊之處。另外，一些文獻(xiàn)對(duì)系統(tǒng)安全的威脅分類(lèi)方法可能同這里給出的不同，但大多沒(méi)有本質(zhì)的區(qū)別。

要真正理解網(wǎng)絡(luò)的信息安全，需要對(duì)網(wǎng)絡(luò)信息系統(tǒng)存在的安全缺陷和可能受到的各種攻擊有深入正確的理解。所謂“知已知彼，百戰(zhàn)不殆”，通過(guò)對(duì)系統(tǒng)缺陷和攻擊手段進(jìn)行分類(lèi)與歸納，可讓人們正視系統(tǒng)的不足與所受威脅。

對(duì)于安全系統(tǒng)的使用者來(lái)說(shuō)，可以采用 2 種不同的安全模型。

（1）火車(chē)司機(jī)型在這種系統(tǒng)中，使用者只需要控制系統(tǒng)的啟停，安全系統(tǒng)便能夠辨別出危險(xiǎn)信號(hào)，自動(dòng)找尋安全道路，使用者在其他時(shí)間可以放心大膽地干別的事情。

（2）航空飛行員型在這種模型中，即使系統(tǒng)已經(jīng)擁有很先進(jìn)的自動(dòng)導(dǎo)航設(shè)備，而且大多數(shù)情況下系統(tǒng)已經(jīng)處在自動(dòng)運(yùn)行中，仍然要求使用者必須在安全方面訓(xùn)練有素。

在這 2 種模型中，第一種顯得非常好用。用慣了圖形用戶界面的人都希望安全系統(tǒng)在經(jīng)過(guò)簡(jiǎn)單的指導(dǎo)安裝之后，不用再親自介入以后的運(yùn)行了。這種想法很自然，但實(shí)現(xiàn)起來(lái)并不容易。網(wǎng)絡(luò)世界遠(yuǎn)遠(yuǎn)沒(méi)有鐵路系統(tǒng)那么有序，缺少像鐵軌那樣嚴(yán)格控制并引導(dǎo)列車(chē)前進(jìn)的機(jī)制，由于可能出現(xiàn)的異常情況太多，所以沒(méi)有什么辦法可以讓人一勞永逸。

有些人會(huì)認(rèn)為：“不是還有防火墻嗎？交給它好了！”這同樣是錯(cuò)的，防火墻并不是萬(wàn)靈藥，它雖然堵住了大量不安全的缺口，但還是小心翼翼地向外界打開(kāi)了一扇訪問(wèn)內(nèi)部信息的小門(mén)。盡管此門(mén)的開(kāi)啟受到限制，可路卻通了。如果有人利用這條路徑進(jìn)行數(shù)據(jù)驅(qū)動(dòng)型的攻擊，防火墻是無(wú)能為力的。

最近，電視和網(wǎng)上公布一些網(wǎng)上個(gè)人信息被泄密的信息，這直接關(guān)系到個(gè)人秘密和隱私，在當(dāng)今互聯(lián)網(wǎng)飛速發(fā)展的時(shí)代，加強(qiáng)網(wǎng)絡(luò)信息保護(hù)至關(guān)重要，勢(shì)在必行。

網(wǎng)絡(luò)時(shí)代，個(gè)人信息是網(wǎng)絡(luò)交易的前提和基礎(chǔ)，一旦被對(duì)方掌握，會(huì)給信息安全造成極大威脅。由于缺少相關(guān)法律，對(duì)利用公民個(gè)人信息謀取巨額利潤(rùn)的一些商家甚至不法分子難以追究其法律責(zé)任。如果我國(guó)不加快個(gè)人信息保護(hù)立法步伐，將會(huì)帶來(lái)公民對(duì)個(gè)人信息安全缺乏信心、互聯(lián)網(wǎng)公司收集不到有效信息、社會(huì)公信難以形成等問(wèn)題。

目前我國(guó)一些法律雖然涉及了對(duì)個(gè)人信息保護(hù)的內(nèi)容，但比較零散，也缺乏法律位階比較高的法律，還難以形成嚴(yán)密的保護(hù)個(gè)人信息的法律網(wǎng)，這就容易使不法分子鉆空子。

在加強(qiáng)網(wǎng)絡(luò)信息管理過(guò)程中，建議對(duì)那些提供公共或?qū)I(yè)服務(wù)、涉及個(gè)人信息儲(chǔ)存和利用的機(jī)構(gòu)，要對(duì)其承擔(dān)的相關(guān)法律義務(wù)加以明確；對(duì)于非法手段獲取個(gè)人信息的行為，應(yīng)規(guī)定較為嚴(yán)厲的懲治措施。

在完善法律法規(guī)的同時(shí)，還要多措并舉、多管齊下，各有關(guān)監(jiān)管部門(mén)切實(shí)擔(dān)負(fù)起監(jiān)管職責(zé)，執(zhí)法部門(mén)嚴(yán)格執(zhí)法，網(wǎng)民也應(yīng)增強(qiáng)提高個(gè)人信息的保護(hù)和防范意識(shí)互聯(lián)網(wǎng)是社會(huì)大眾共有的虛擬世界，這一虛擬世界早已和現(xiàn)實(shí)社會(huì)密不可分，這就決定了互聯(lián)網(wǎng)不是絕對(duì)自由的平臺(tái)，而應(yīng)該是和諧與法治秩序的領(lǐng)地。如果管理不善，國(guó)家信息安全就會(huì)受到威脅，企業(yè)電子商務(wù)就會(huì)受到影響，大眾個(gè)人隱私就會(huì)受到損害。

與現(xiàn)實(shí)社會(huì)管理一樣，互聯(lián)網(wǎng)管理不僅要依靠行業(yè)和個(gè)人自律，更應(yīng)依靠機(jī)制和法律。對(duì)于網(wǎng)絡(luò)監(jiān)管，動(dòng)力來(lái)自社會(huì)，呼聲來(lái)自民間；作為國(guó)家利益和公眾利益的代表，政府介入其中，健全法律機(jī)制，促進(jìn)立法、執(zhí)法，敦促行業(yè)自律，引導(dǎo)并保持互聯(lián)網(wǎng)健康的發(fā)展方向，依據(jù)了社會(huì)形勢(shì)，順應(yīng)了民眾呼聲。明確在互聯(lián)網(wǎng)中哪些是得到保護(hù)的、哪些是要進(jìn)行限制、禁止的，讓網(wǎng)民明確自己的權(quán)利與義務(wù)，使得上網(wǎng)行為有章可循、有法可依，是公民合法權(quán)益的一部分，更是依法治國(guó)的題中應(yīng)有之義。

我國(guó)互聯(lián)網(wǎng)立法勢(shì)在必行，全國(guó)人大常委會(huì)審議加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定草案，是依據(jù)社情、順應(yīng)民意、符合國(guó)際慣例的勢(shì)在必行之舉。草案的審議也顯示了我國(guó)依法治理網(wǎng)絡(luò)，維護(hù)國(guó)家社會(huì)有序安全，保障人民群眾利益的決心。